{"id":751346,"date":"2023-05-12T17:32:54","date_gmt":"2023-05-12T17:32:54","guid":{"rendered":"https:\/\/teknomers.com\/es\/nueva-variante-sigilosa-de-linux-backdoor-bpfdoor-emerge-de-las-sombras\/"},"modified":"2023-05-12T17:32:57","modified_gmt":"2023-05-12T17:32:57","slug":"nueva-variante-sigilosa-de-linux-backdoor-bpfdoor-emerge-de-las-sombras","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/nueva-variante-sigilosa-de-linux-backdoor-bpfdoor-emerge-de-las-sombras\/","title":{"rendered":"Nueva variante sigilosa de Linux Backdoor BPFDoor emerge de las sombras"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">12 de mayo de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Linux\/malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Una variante previamente no documentada y en su mayor\u00eda no detectada de una puerta trasera de Linux llamada <strong>BPFPuerta<\/strong> ha sido detectado en la naturaleza, dijo la firma de ciberseguridad Deep Instinct en un informe t\u00e9cnico publicado esta semana.<\/p>\n<p>&#8220;BPFDoor conserva su reputaci\u00f3n como un malware extremadamente sigiloso y dif\u00edcil de detectar con esta \u00faltima iteraci\u00f3n&#8221;, dijeron los investigadores de seguridad Shaul Vilkomir-Preisman y Eliran Nissan. <a rel=\"nofollow noopener\" href=\"https:\/\/www.deepinstinct.com\/blog\/bpfdoor-malware-evolves-stealthy-sniffing-backdoor-ups-its-game\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>BPFDoor (tambi\u00e9n conocido como JustForFun), documentado por primera vez por <a rel=\"nofollow noopener\" href=\"https:\/\/www.pwc.com\/gx\/en\/issues\/cybersecurity\/cyber-threat-intelligence\/cyber-year-in-retrospect\/yir-cyber-threats-report-download.pdf\" target=\"_blank\">PwC<\/a> y <a rel=\"nofollow noopener\" href=\"https:\/\/www.elastic.co\/security-labs\/a-peek-behind-the-bpfdoor\" target=\"_blank\">Laboratorios de seguridad el\u00e1stica<\/a> en mayo de 2022, es una puerta trasera pasiva de Linux asociada con un actor de amenazas chino llamado <a rel=\"nofollow noopener\" href=\"https:\/\/malpedia.caad.fkie.fraunhofer.de\/actor\/red_menshen\" target=\"_blank\">menshen rojo<\/a> (tambi\u00e9n conocido como <a rel=\"nofollow noopener\" href=\"https:\/\/www.crowdstrike.com\/blog\/how-to-hunt-for-decisivearchitect-and-justforfun-implant\/\" target=\"_blank\">Arquitecto Decisivo<\/a> o Red Dev 18), que se sabe que destaca a los proveedores de telecomunicaciones en Medio Oriente y Asia desde al menos 2021.<\/p>\n<p>El malware est\u00e1 espec\u00edficamente dirigido a <a rel=\"nofollow noopener\" href=\"https:\/\/blog.qualys.com\/vulnerabilities-threat-research\/2022\/08\/01\/heres-a-simple-script-to-detect-the-stealthy-nation-state-bpfdoor\" target=\"_blank\">establecer acceso remoto persistente<\/a> a entornos de destino comprometidos durante largos per\u00edodos de tiempo, con evidencia que apunta a que el equipo de pirater\u00eda oper\u00f3 la puerta trasera sin ser detectado durante a\u00f1os.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tr60percentstatic-inside-1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/05\/1682966412_237_APT28-apunta-a-entidades-gubernamentales-ucranianas-con-falsificaciones-quotactualizacion-de.png\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>BPFDoor recibe su nombre del uso de Berkeley Packet Filters (<a rel=\"nofollow noopener\" href=\"https:\/\/prototype-kernel.readthedocs.io\/en\/latest\/bpf\/index.html\" target=\"_blank\">BPF<\/a>) \u2013 una tecnolog\u00eda que permite analizar y filtrar el tr\u00e1fico de red en sistemas Linux \u2013 para comunicaciones de red y procesar comandos entrantes.<\/p>\n<p>Al hacerlo, los actores de amenazas pueden penetrar en el sistema de una v\u00edctima y ejecutar c\u00f3digo arbitrario sin ser detectados por los firewalls, al mismo tiempo que filtran datos innecesarios.<\/p>\n<p>Los hallazgos de Deep Instinct provienen de un <a rel=\"nofollow noopener\" href=\"https:\/\/www.virustotal.com\/gui\/file\/afa8a32ec29a31f152ba20a30eb483520fe50f2dce6c9aa9135d88f7c9c511d7\/detection\" target=\"_blank\">BPFArtefacto de puerta<\/a> que se carg\u00f3 en VirusTotal el 8 de febrero de 2023. Al momento de escribir, solo tres proveedores de seguridad han marcado el binario ELF como malicioso.<\/p>\n<p>Una de las caracter\u00edsticas clave que hacen que la nueva versi\u00f3n de BPFDoor sea a\u00fan m\u00e1s evasiva es la eliminaci\u00f3n de muchos indicadores codificados y, en su lugar, la incorporaci\u00f3n de una biblioteca est\u00e1tica para el cifrado (<a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/libtom\/libtomcrypt\" target=\"_blank\">libtomcrypt<\/a>) y un shell inverso para la comunicaci\u00f3n de comando y control (C2).<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/05\/1683912774_796_Nueva-variante-sigilosa-de-Linux-Backdoor-BPFDoor-emerge-de-las.png\" alt=\"Puerta trasera Linux\" border=\"0\" data-original-height=\"619\" data-original-width=\"728\" title=\"Puerta trasera Linux\"\/><\/div>\n<p>Tras el lanzamiento, BPFDoor est\u00e1 configurado para ignorar varios <a rel=\"nofollow noopener\" href=\"https:\/\/man7.org\/linux\/man-pages\/man7\/signal.7.html#:~:text=sensible%20software%20design!).-,Standard%20signals,-Linux%20supports%20the\" target=\"_blank\">se\u00f1ales del sistema operativo<\/a> para evitar que se termine.  A continuaci\u00f3n, asigna un b\u00fafer de memoria y crea un socket de detecci\u00f3n de paquetes especial que supervisa el tr\u00e1fico entrante con un determinado <a rel=\"nofollow noopener\" href=\"https:\/\/www.netspi.com\/blog\/technical\/web-application-penetration-testing\/magic-bytes-identifying-common-file-formats-at-a-glance\/\" target=\"_blank\">Secuencia de bytes m\u00e1gicos<\/a> conectando un filtro BPF en el z\u00f3calo sin formato.<\/p>\n<p>&#8220;Cuando BPFdoor encuentra un paquete que contiene sus Magic Bytes en el tr\u00e1fico filtrado, lo tratar\u00e1 como un mensaje de su operador y analizar\u00e1 dos campos y se bifurcar\u00e1 nuevamente&#8221;, explicaron los investigadores.<\/p>\n<p>&#8220;El proceso principal continuar\u00e1 y monitorear\u00e1 el tr\u00e1fico filtrado que ingresa a trav\u00e9s del socket, mientras que el proceso secundario tratar\u00e1 los campos analizados previamente como una combinaci\u00f3n de puerto IP de comando y control e intentar\u00e1 contactarlo&#8221;.<\/p>\n<div class=\"ad_two clear\" style=\"margin: 20px 10px 30px 0;background: rgb(249 251 255);color: rgb(22, 7, 85);padding: 0px 5%;border: 2px solid rgb(217 222 255);border-radius: 10px;text-align: left;box-shadow: 10px 10px 0 #e2ebff;border-top-left-radius: 50px;border-bottom-right-radius: 50px;\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background: #dbdefc;display:inline-block;padding: 3px 20px;border-radius: 100px;letter-spacing: 0.5px;color: #596cec;\">PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n<p>Aprenda a detener el ransomware con protecci\u00f3n en tiempo real<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px;margin: 10px 0;color: #4e6a8d;\">\u00danase a nuestro seminario web y aprenda c\u00f3mo detener los ataques de ransomware en seco con MFA en tiempo real y protecci\u00f3n de cuenta de servicio.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/silver-web-inside\" target=\"_blank\" style=\"padding: 10px 20px;border-radius: 8px;background-color: #4469f5;font-size:16px;display:inline-block;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;MARGIN: 10px 0 25px 0;float:left;font-weight:500;letter-spacing: 0.2px;\">Guardar mi asiento!<\/a><\/div>\n<p>En la etapa final, BPFDoor establece una sesi\u00f3n de shell inversa cifrada con el servidor C2 y espera que se ejecuten m\u00e1s instrucciones en la m\u00e1quina comprometida.<\/p>\n<p>El hecho de que BPFDoor haya permanecido oculto durante mucho tiempo habla de su sofisticaci\u00f3n, ya que los actores de amenazas desarrollan cada vez m\u00e1s malware dirigido a los sistemas Linux debido a su prevalencia en entornos empresariales y de nube.<\/p>\n<p>El desarrollo viene como Google <a rel=\"nofollow noopener\" href=\"https:\/\/security.googleblog.com\/2023\/05\/introducing-new-way-to-buzz-for-ebpf.html\" target=\"_blank\">Anunciado<\/a> un nuevo filtro de paquetes de Berkeley ampliado (<a rel=\"nofollow noopener\" href=\"https:\/\/ebpf.io\/what-is-ebpf\/\" target=\"_blank\">eBPF<\/a>) marco fuzzing llamado <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/google\/buzzer\" target=\"_blank\">Zumbador<\/a> para ayudar a fortalecer Linux <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Kernel_(operating_system)\" target=\"_blank\">n\u00facleo<\/a> y garantizar que los programas de espacio aislado que se ejecutan en un contexto privilegiado sean v\u00e1lidos y seguros.<\/p>\n<p>El gigante tecnol\u00f3gico dijo adem\u00e1s que el m\u00e9todo de prueba condujo al descubrimiento de un <a rel=\"nofollow noopener\" href=\"https:\/\/git.kernel.org\/pub\/scm\/linux\/kernel\/git\/torvalds\/linux.git\/commit\/?id=71b547f561247897a0a14f3082730156c0533fed\" target=\"_blank\">falla de seguridad<\/a> (CVE-2023-2163) que podr\u00eda explotarse para lograr lecturas y escrituras arbitrarias de la memoria del kernel.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/05\/new-variant-of-linux-backdoor-bpfdoor.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80212 de mayo de 2023\ue804Ravie Lakshman\u00e1nLinux\/malware Una variante previamente no documentada y en su mayor\u00eda no detectada de<\/p>\n","protected":false},"author":1,"featured_media":751347,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,32555,77902,4664,19301,4662,4668,246,4667,18038,4654,4658,4659,4653,4655,212,4663,4666,4665,90871,45041,25649,4660],"class_list":["post-751346","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-backdoor","tag-bpfdoor","tag-como-hackear","tag-emerge","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las","tag-las-noticias-de-los-hackers","tag-linux","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-nueva","tag-programa-malicioso-ransomware","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-sigilosa","tag-sombras","tag-variante","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/751346","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=751346"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/751346\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/751347"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=751346"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=751346"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=751346"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}